Universität Erfurt

Universitätsrechen- und Medienzentrum

Was tun bei Befall?

Meldet ein vom URMZ administrierter Arbeitsplatzrechner oder Pool-PC z.B. über den Virenscanner die Erkennung von Schadsoftware sollten sich Studenten und Mitarbeiter über das Servicebüro mit dem zuständigen Betreuer des IT-Systems in Verbindung setzen, den Vorfall melden und die weitere Vorgehensweise abstimmen.

Wenn ein privates IT-System den Befall mit Schadsoftware meldet, könnte, um Fehlalarmen vorzubeugen, das vermutlich befallene IT-System mit mehreren Virenscannern untersucht werden. Das befallene System sollte zuerst vom Internet getrennt und ggf. wichtige Daten auf externe Datenträger gesichert werden. Dann kann in einem ersten Schritt mit einem kostenlosen Tool von Microsoft der PC untersucht werden. Dazu den Microsoft Safety Scanner herunterladen und ausführen, eine Installation ist nicht erforderlich, d.h. das Programm kann auch auf einem USB-Stick (möglichst neu oder frisch formatiert) von einem anderen PC kopiert werden. In einem weiteren Schritt sollte der Rechner mit einer Rescue-CD gebootet und auf Schadsoftware untersucht werden. Zum Herstellen der Rescue-CD kann ein tagesaktuelles ISO-Image z.B. von Avira heruntergeladen und auf eine CD gebrannt werden oder ein startbarer USB-Stick erstellt werden. Eine Anleitung zum Vorgehen gibt es hier

Weitere Hinweise zum Vorgehen bei Befall gibt es auch unter www.botfrei.de.

Kann der Verdacht auf Befall mit Schadsoftware wie Viren, Trojaner, Würmern nicht ausgeräumt werden, ist das IT-System vom Datennetz der Uni Erfurt zu trennen! Über die Vorgehensweise der Beseitigung der Schadsoftware entscheidet der Besitzer/ Benutzer des befallen privaten IT-Systems.

Anhaltspunkte für eine mögliche Vorgehensweise sind:

  • Es könnten wichtige Informationen (insbesondere selbst erstellte) auf Datenträger gesichert oder mindestens ausgedruckt werden. Um das Risiko des erneuten Schadsoftwarebefalls zu minimieren, könnten alle Dateien, welche als Verbreitungswege für Schadsoftware geeignet sind, z.B. ausführbare Dateien, von der Sicherung / Rücksicherung ausgenommen werden.
  • Nach einer möglichen vollständigen Löschung aller Festplatten könnte eine Neuinstallation aus vertrauenswürdigen Softwarequellen und eine Aktualisierung der Softwarestände (Einpflegen von Sicherheitspatchen) und die Installation eines Virenscanners mit aktuellem Erkennungssignaturen durchgeführt werden.
  • Alle auf dem betroffenen IT-System verwendeten Zugangsdaten/Verbindungsinformationen sollten umgehend geändert werden. Diese Empfehlung gilt nicht nur für die Nutzerkennungen auf dem IT-System, sondern auch für Internetzugangsdaten wie Email- oder Bankzugängen.
  • Mobile Datenträger könnten in die Untersuchung auf Schadsoftwarebefall und die Löschung mit einbezogen werden.

Hintergrund o.g. möglicher Vorgehensweise ist, dass z.B. ein einzelner Virenscanner nur ca. 75-80 % der tagesaktuellen Schadsoftware erkennen kann und davon auszugehen ist, das weitere, noch nicht erkannte Schadsoftware z.B. beim Verbinden des befallenen IT-Systems mit dem Internet automatisch nachinstalliert wird. Die Erkennungsrate wird sich beim Einsatz mehrerer Virenscanner verbessern, aber nie eine vollständige Erkennung sicherstellen. Selbst eine gemeldete Bereinigung des Schadsoftwarebefalls durch die Säuberungsfunktion eines Virenscanners, kann in diesem Zusammenhang vermutlich nicht als verlässlich angenommen werden.

Navigation

Werkzeugkiste

Nutzermenü und Sprachwahl